Fale com um especialista +55 11 3141 9009

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Português
  • Quem Somos
  • LGPD
  • Áreas de Atuação
  • Equipe
  • Imprensa
  • Opinião Jurídica
  • Contato

Consultoria jurídica

Conte conosco para adequação à LGPD

U

Sobre a LGPD

O que é e para quem vale



Materiais Exclusivos

E-books com muita informação sobre LGPD

Preciso de uma consultoria 



Dados Cast

Dados Cast: O podcast do Assis e Mendes

LGPD

Informações sobre Lei Geral de Proteção de Dados


DIREITO DIGITAL

Informações sobre Direito Digital


DIREITO EMPRESARIAL

Informações sobre Direito Empresarial

E-BOOKS PARA DOWNLOAD

b

2021

b

2020

b

2019



Anos anteriores

Fale com o Assis e Mendes

Vazamento de dados e Ministério Público: um acordo com o MP resolve o problema?

Vazamento de dados e Ministério Público: um acordo com o MP resolve o problema?

por Assis e Mendes | abr 30, 2019 | Direito digital

Infe­liz­mente, muitas empre­sas ain­da não enten­der­am como é séria a tare­fa de cole­tar e armazenar dados pes­soais de seus clientes. E quan­do um vaza­men­to de dados acon­tece elas acred­i­tam que ape­nas uma retratação com o públi­co e um acor­do com o Min­istério Públi­co podem resolver. 

Afi­nal, pen­sam elas, se esse tipo de situ­ação já acon­te­ceu com gigantes do mer­ca­do, como Face­book, Uber, Adobe e Net­shoes e essas empre­sas con­tin­u­am a lucrar, então um vaza­men­to de dados não deve ser tão grave, cer­to? Errado. 

A ver­dade é que essas e out­ras com­pan­hias foram sim bas­tante prej­u­di­cadas por ter sofri­do com a ação de crim­i­nosos dig­i­tais, e com empre­sas menores as con­se­quên­cias podem ser ain­da piores. 

A seguir, vamos esclare­cer algu­mas dúvi­das sobre as con­se­quên­cias de um vaza­men­to de dados e sobre a atu­ação do Min­istério Públi­co ness­es casos. 

Posso fazer um acordo com o Ministério Público?

A empre­sa pode sim faz­er um acor­do com o MP. Mas isso ain­da a colo­ca bem longe de resolver o problema. 

Em 2018, o Ban­co Inter teve os dados de mais de 19 mil clientes vaza­dos. Primeiro, a insti­tu­ição negou a que­bra de sig­i­lo, mas algu­mas sem­anas depois acabou con­fes­san­do que infor­mações de seus cor­ren­tis­tas estavam sendo ven­di­das na Deep Web.

Ini­cial­mente, o Min­istério Públi­co cobrou uma mul­ta de R$ 10 mil­hões e, depois de meses de dis­pu­ta, o val­or for acor­da­do em R$ 1,5 mil­hão. Deste mon­tante, R$ 500 mil seri­am encam­in­hados para insti­tu­ições de cari­dade e R$ 1 mil­hão para órgãos públi­cos que com­bat­em os crimes dig­i­tais.

Ape­sar de ter reduzi­do a sanção apli­ca­da no caso, o Ban­co Inter pode ter per­di­do algo ain­da mais pre­cioso: sua cred­i­bil­i­dade com o públi­co. Ter suas sen­has, dados pes­soais e transações finan­ceiras expostas é algo gravís­si­mo e muitos cor­ren­tis­tas podem ter per­di­do a con­fi­ança no banco. 

O MP é o único que vou precisar enfrentar? 

Bater de frente com o Min­istério Públi­co, nor­mal­mente, é o prin­ci­pal receio das empre­sas quan­do iden­ti­fi­cam um vaza­men­to de dados, mas o MP não é o úni­co órgão que uma com­pan­hia pode enfrentar quan­do tem prob­le­mas com a segu­rança. Tam­bém pode ser necessário lidar com ações judi­ci­ais em out­ras instâncias. 

No caso do Ban­co Inter, por exem­p­lo, a Comis­são de Val­ores Mobil­iários (CMV) tam­bém começou a inves­ti­gar o caso no fim do ano pas­sa­do e ain­da pode abrir um proces­so con­tra a insti­tu­ição financeira. 

Além dis­so, a empre­sa que acabar expon­do os dados que armazena pode enfrentar ações judi­ci­ais de seus clientes, fun­cionários e até par­ceiros com­er­ci­ais se eles se sen­tirem prej­u­di­ca­dos pela que­bra de sigilo. 

Unir uma redução drás­ti­ca no número de clientes, o paga­men­to de uma mul­ta que pode descap­i­talizar o seu negó­cio, uma porção de proces­sos judi­ci­ais e a per­da de par­ceiros estratégi­cos pode resul­tar em um perío­do bas­tante com­pli­ca­do para a sua empre­sa e, even­tual­mente, até sua falência. 

A LGPD pode endurecer as regras de vazamento de dados? 

Sim, a nova Lei Ger­al de Pro­teção de Dados (LGPD) a ser imple­men­ta­da no ano que vem chega para deixar ain­da mais clara a importân­cia de faz­er uma gestão ade­qua­da dos dados e endure­cer as sanções em caso de vazamento.

Até 2020 as empre­sas que cole­tam e proces­sam infor­mações de brasileiros – online ou offline – ou têm oper­ações no país pre­cisam se ade­quar a uma série de regras para evi­tar sanções de até 2% de seu fat­u­ra­men­to ou R$ 50 mil­hões por infração. 

Como lidar com um vazamento de dados? 

A mel­hor for­ma é pre­venir que o vaza­men­to acon­teça e ter um advo­ga­do espe­cial­iza­do em dire­ito dig­i­tal e pro­teção de dados é fun­da­men­tal para isso. 

Esse profis­sion­al pode aju­dar a encon­trar vul­ner­a­bil­i­dades no seu sis­tema, pro­por soluções para reduzir as chances de acon­te­cer um vaza­men­to, ori­en­tar mudanças nos seus proces­sos para se ade­quar às novas leis de pro­teção de dados e cri­ar um plano de gestão de crise em caso de que­bra de segurança. 

Com a aju­da do espe­cial­ista, você e sua equipe saberão exata­mente que providên­cias tomar caso haja um vaza­men­to de dados e estarão mel­hor prepara­dos para lidar com prob­le­mas jurídi­cos, caso eles aconteçam. 

Se você quer ter essa segu­rança no seu negó­cio, entre em con­ta­to com os advo­ga­dos da Assis e Mendes!

Por que investir em proteção de dados agora, mesmo que a LGPD só entre em vigor em 2020?

por Assis e Mendes | abr 2, 2019 | Direito Empresarial

Você é o do tipo de que deixa tudo para a últi­ma hora? Então sai­ba que no caso da LGPD esse tipo de com­por­ta­men­to pode ren­der muito pre­juí­zo para a sua empresa. 

A nova lei de pro­teção de dados só começa a vig­o­rar em agos­to de 2020, mas é essen­cial que as empre­sas come­cem a se preparar para mudanças que a LGPD impõe, e a seguir você vai enten­der o porquê. 

Planejamento é importante

A LGPD vai forçar as com­pan­hias brasileiras (e as estrangeiras que recol­hem dados no Brasil) a faz­er uma série de mudanças estru­tu­rais, que vão des­de o setor de TI até o atendi­men­to ao consumidor. 

Faz­er essas alter­ações de uma for­ma segu­ra, efi­ciente e sem pre­juí­zos para o negó­cio deman­da muito estu­do e plane­ja­men­to. E é claro que as últi­mas sem­anas antes do fim do pra­zo não são sufi­cientes para isso. 

É na fase de plane­ja­men­to que você poderá – pref­er­en­cial­mente com aux­ilio de um espe­cial­ista em pro­teção de dados – desen­har todos os pro­ced­i­men­tos que serão muda­dos, cri­ar treina­men­tos para capac­i­tar e edu­car os fun­cionários sobre o assun­to e ver­i­ficar quais desafios terá que enfrentar. Por meio dessa preparação detal­ha­da será capaz de pre­v­er riscos e cri­ar planos de gestão de crise e desen­volver méto­dos mais econômi­cos e efi­cientes para estar em com­pli­ance com a LGPD sem prej­u­dicar seu negócio. 

Há muito trabalho para ser feito

A Lei 13709/18 tem um tex­to exten­so com mais de 60 arti­gos, novos con­ceitos e pro­ced­i­men­tos que pre­cisam ser imple­men­ta­dos nas empre­sas até o próx­i­mo ano. E isso rep­re­sen­ta muito tra­bal­ho para ser feito. 

“O pra­zo de 24 meses des­de a pro­mul­gação da LGPD pode pare­cer grande, mas as mudanças e estru­tu­ra exigi­da pela lei são grandes. Muitas empre­sas que tra­bal­ham com dados terão que redesen­har proces­sos inter­nos ou mes­mo a for­ma como ofer­e­cem serviços aos seus clientes”, expli­ca Adri­ano Mendes, advo­ga­do espe­cial­ista em pro­teção de dados e dire­ito dig­i­tal da Assis e Mendes Advo­ga­dos.

Uma das mudanças pro­pos­ta pela LGPD é que as empre­sas ten­ham um DPO, um profis­sion­al encar­rega­do de medi­ar a comu­ni­cação entre o con­tro­lador, os tit­u­lares e a ANPD. Isso sig­nifi­ca que talvez você pre­cise faz­er um proces­so sele­ti­vo para con­tratar esse espe­cial­ista, reser­var recur­sos, estru­tu­ra e equipa­men­tos para que ele tra­bal­he, cri­ar uma roti­na de tra­bal­ho e treinar a equipe para tra­bal­har em con­jun­to com ele. 

Só essas tare­fas já deman­dam bas­tante tem­po e tra­bal­ho, e essa é só uma das várias mudanças que as empre­sas terão que faz­er até o ano que vem. 

Existem problemas para serem resolvidos hoje

A LGPD pode entrar em vig­or em 2020, mas exis­tem questão que você pode pre­cis­ar resolver agora! 

A for­ma como os dados dos brasileiros devem ser trata­dos pode não ter sido ain­da não for 100% for­mal­iza­da, mas muitos cidadãos já estão total­mente cientes sobre a uti­liza­ção de seus dados e sobre o cres­cente número de ataques dig­i­tais e vaza­men­to de infor­mações pessoais. 

“Des­de já, exis­tem diver­sas ações do Min­istério Públi­co Fed­er­al ques­tio­nan­do os vários vaza­men­tos de dados por parte das empre­sas. Os pedi­dos de ind­eniza­ções atu­ais, em muitos casos, são supe­ri­ores aos pre­vis­tos na Lei”, comen­ta Adriano. 

Além dis­so, ain­da que não sejam dire­ta­mente men­cionadas na LGPD, boas práti­cas da segu­rança dig­i­tal como encrip­tação de dados e cri­ação de Ter­mos de Uso nos sites devem ser feitas “para ontem”.

Dessa for­ma você não só reduz as chances de ter prob­le­mas graves com vaza­men­to, fraudes e mal-enten­di­dos, mas demon­stra para o con­sum­i­dor que se pre­ocu­pa com a pro­teção dos seus dados e aumen­ta a sua confiança. 

Todo precisam se acostumar

É pos­sív­el que você imple­mente uma série de pro­ced­i­men­tos e sis­temas novos, faça um úni­co treina­men­to da equipe e no dia seguinte tudo este­ja fun­cio­nan­do per­feita­mente? Sim, mas é bas­tante improvável. 

A ver­dade é que qual­quer alter­ação na roti­na da oper­ação pode começar um pouco desal­in­ha­da. Talvez você pre­cise tes­tar mais de um sis­tema, provavel­mente será pre­ciso tem­po e práti­ca para que todos os fun­cionários este­jam atuan­do de acor­do com a LGPD, você perce­ba que os pro­ced­i­men­tos que desen­hou não fun­cionam bem e pre­cise refaz­er seu planejamento. 

Faz­er ess­es testes e ver­i­ficar se todos – inclu­sive os clientes – estão respon­den­do bem aos novos proces­sos tam­bém exige tem­po, e o mel­hor é começar a faz­er essa obser­vação o quan­to antes. Assim, quan­do o pra­zo para imple­men­tação da LGPD chegar sua empre­sa já vai ser expert em como atu­ar den­tro da lei. 

Você não vai querer descumprir a lei

Com mul­tas de 2% do fat­u­ra­men­to total da empre­sa ou R$ 50 mil­hões por infração cometi­da você cer­ta­mente não vai quer­er atu­ar fora da lei, certo? 

E se somar­mos mul­tas diárias, blo­queio e até exclusão dos dados pes­soais rela­ciona­dos à infração? Fica cada vez menos atra­ti­vo deixar tudo para a últi­ma hora e cor­rer o risco de não aten­der ao pra­zo da LGPD, não é mesmo? 

Para que isso não acon­teça, con­te des­de já com o apoio dos advo­ga­dos espe­cial­iza­dos em dire­ito dig­i­tal, dire­ito empre­sar­i­al e tec­nolo­gia da Assis e Mendes! O escritório con­ta com profis­sion­ais que con­hecem pro­fun­da­mente as boas práti­cas de pro­teção de dados no Brasil e no mun­do e podem aju­dar a sua empre­sa a pas­sar por essa tran­sição de uma for­ma mais sim­ples e sem pre­juí­zos para o negócio!

Vazamento de dados expõe quase 773 milhões de e‑mails e senhas

por Assis e Mendes | jan 23, 2019 | Não categorizado

A Wired, por­tal sobre tec­nolo­gia, noti­ciou recen­te­mente um dos maiores vaza­men­tos de dados da história. Segun­do o site, hou­ve uma brecha que expôs 772.904.991 e‑mails e sen­has pes­soais. O inci­dente está sendo chama­do de Col­lec­tion #1.

A fal­ha teria sido nota­da ini­cial­mente por Troy Hunt, um espe­cial­ista em segu­rança dig­i­tal, e con­tém cer­ca de 87 giga­bytes de dados divi­di­dos em 12 mil arquiv­os. Algo que chama atenção é que as infor­mações não estari­am disponíveis para ven­da nos can­tos mais obscuros da deep web, mas sim gra­tuita­mente em um fórum de hackers.

Além do número impres­sio­n­ante, out­ro pon­to que difer­en­cia o Col­lec­tion #1 de out­ros casos de vaza­men­to de dados é a fonte. A maio­r­ia dos inci­dentes está lig­a­da à uma empre­sa, como já acon­te­ceu com o Face­book, LinkedIn e Adobe. Mas no vaza­men­to detec­ta­do por Hunt, os arquiv­os reu­ni­am dados de 2000 ban­cos de dados e nen­hum deles esta­va criptografado.

“Parece uma coleção com­ple­ta­mente aleatória fei­ta com o obje­ti­vo de max­i­mizar o número de infor­mações para os hack­ers. Não exis­tem padrões óbvios, a intenção parece ser ape­nas expor o máx­i­mo de infor­mações”, con­tou Hunt em entre­vista para a Wired. 

O espe­cial­ista acred­i­ta que a ideia seja hack­ear não só os e‑mails, mas usar as infor­mações para con­seguir aces­so às redes soci­ais e out­ros sites, já que muitas pes­soas uti­lizam as mes­mas sen­has em difer­entes plataformas. 

Como saber se minha conta foi hackeada? 

Hunt man­tém o site Have I Been Pwned?, algo como “Já fui hack­ea­do?”, em tradução livre. Nele, Hunt prom­ete vas­cul­har a inter­net para desco­brir se o seu e‑mail já foi men­ciona­do em algum vaza­men­to de dados. A con­sul­ta é gra­tui­ta e pode ser fei­ta facil­mente infor­man­do o seu e‑mail.

Além dis­so, des­de o ano pas­sa­do o GDPR já obri­ga as empre­sas a infor­marem os usuários em casos de que­bra de sig­i­lo em até 72 horas e a Lei Ger­al de Pro­teção de Dados (LGPD) fará o mes­mo a par­tir de 2020. Ou seja, se suas infor­mações forem vazadas, a com­pan­hia que as man­tinha em seu ban­co de dados devem entrar em con­ta­to dire­to com você. 

Fui vítima de um vazamento de dados, e agora? 

Se você foi uma víti­ma de um vaza­men­to de dados, é fun­da­men­tal tro­car suas sen­has o mais rápi­do pos­sív­el. Não se esqueça que uti­lizar sequên­cias numéri­c­as e alfabéti­cas, ou mes­mo infor­mações óbvias, como seu nome, podem facil­i­tar a vida dos hackers. 

Adri­ano Mendes, espe­cial­ista em Dire­ito Dig­i­tal e Dire­ito Empre­sar­i­al e sócio fun­dador da Assis e Mendes Advo­ga­dos, sug­ere ain­da uma con­sul­ta nas transações bancárias. Isso porque, através do seu históri­co de e‑mails e con­tatos, o crim­i­noso pode ter aces­so à infor­mações pes­soais, como CPF, endereço e número de cartão de crédito

Adri­ano dá ain­da uma dica pre­ciosa: “ten­ha uma sen­ha mes­tra para o seu e‑mail prin­ci­pal, uma sen­ha difer­ente para cada serviço que uti­lize dados finan­ceiros ou cartão de crédi­to e sen­has ‘genéri­c­as’ ou logins para os demais serviços”. O espe­cial­ista em Dire­ito Dig­i­tal ain­da sug­ere serviços como o Sen­haSe­gu­ra, o Last­pass e o Password1, que ger­am sen­has automáticas. 

Se a platafor­ma tiv­er um sis­tema de con­fir­mação de dois fatores – que solici­ta out­ro tipo de con­fir­mação, além da sen­ha – é inter­es­sante habil­itá-lo também. 

Redes soci­ais como o Face­book têm ain­da uma fer­ra­men­ta de segu­rança que per­mite que você qual­i­fique out­ro usuário para admin­is­trar sua con­ta em casos de emergên­cia. Através dess­es ami­gos você tam­bém pode entrar em con­ta­to com a platafor­ma e reaver o seu perfil. 

Se a sua empre­sa apre­sen­tou uma fal­ha na segu­rança e os dados foram expos­tos, o mel­hor a se faz­er é seguir o pro­to­co­lo do GDPR e da LGPD (Lei Ger­al de Pro­teção de Dados) e avis­ar os con­sum­i­dores o mais rápi­do possível. 

Tam­bém é fun­da­men­tal acionar sua equipe de TI para localizar a brecha e cor­ri­gi-la e movi­men­tar seus advo­ga­dos para anal­is­ar as medi­das cabíveis.

Se você pre­cisa imple­men­tar medi­das de segu­rança con­tra os ataques dig­i­tais e vaza­men­to de dados na sua empre­sa, entre em con­ta­to com os advo­ga­dos da Assis e Mendes. Nos­sos espe­cial­is­tas em Dire­ito Empre­sar­i­al e Dire­ito Dig­i­tal vão aju­dar o seu negó­cio a atu­ar de for­ma segu­ra, efi­ciente e em con­formi­dade com a lei. 

PL de proteção de dados em SP pode gerar onda de insegurança jurídica

por Assis e Mendes | jan 15, 2019 | Não categorizado

É fato que o GDPR (Reg­u­la­men­to Ger­al sobre a Pro­teção de Dados cri­a­do pela União Europeia) fez com que empre­sas de todo o mun­do se movi­men­tassem para rev­er seus pro­ced­i­men­tos de cap­tação e proces­sa­men­to de dados. Mas, além dis­so, o GDPR tam­bém tem mobi­liza­do muitos país­es a cri­arem suas próprias regras de pro­teção de infor­mações pessoais. 

O Brasil, recen­te­mente, insti­tu­iu a Lei Ger­al de Pro­teção de Dados (LGPD), que deve ter um papel semel­hante ao do GDPR: reg­u­la­men­tar o recol­hi­men­to e uso de infor­mações cap­tadas pela internet. 

Mas esse assun­to se mostrou tão impor­tante que estão surgin­do pro­je­tos de lei para cri­ar regras ain­da mais especí­fi­cas, que pos­sam jus­ti­ficar ações mais par­tic­u­lares em cada esta­do ou cidade. 

A exem­p­lo dis­so, a PL 598/2018, de auto­ria do dep­uta­do Rogério Nogueira, cria uma leg­is­lação estad­ual para que o esta­do de São Paulo pos­sa agir de for­ma espe­cial na pro­teção de dados.

Obvi­a­mente, uma deter­mi­nação estad­ual não poderá sobre­por uma lei fed­er­al, como é o caso da LGPD. Mas a pro­pos­ta de Nogueira tem cri­a­do uma cer­ta inse­gu­rança na comu­nidade jurídi­ca, vis­to que muitos acred­i­tam que ela pode entrar em con­fli­to com a Lei Ger­al de Pro­teção de Dados ou cri­ar situ­ações de “dupla punição”, em que o infrator respon­de­ria por se desviar da LGPD e da PL 598/2018. Como resul­ta­do, have­ria grave cus­tos para as empre­sas e diver­sos impass­es em uma dis­pu­ta jurídica. 

Mas será que real­mente exis­tem motivos para se pre­ocu­par? É isso que vamos anal­is­ar na sequência. 

Pro­je­to de Lei 598/2018 x LGPD: prin­ci­pais diferenças

Ape­sar do receio de haver dis­crepân­cias e con­fli­tos entre as duas pro­postas, a real­i­dade é que o pro­je­to de lei em dis­cussão é bas­tante semel­hante com o descrito pelo LGPD. Na ver­dade, pou­cas são as mudanças e os detal­hamen­tos que o doc­u­men­to apre­sen­ta, quan­do com­para­do à leg­is­lação federal. 

A prin­ci­pal difer­ença é a cri­ação de um órgão region­al para reg­u­la­men­tar a cap­tação e proces­sa­men­to de dados. Nogueira defende que haja uma Autori­dade Estad­ual de Pro­teção de Dados que fis­cal­ize, especi­fi­ca­mente, o esta­do de São Paulo. A insti­tu­ição gov­er­na­men­tal serviria como uma adição à Autori­dade Nacional pro­pos­ta no LGPD.

Com isso, a ideia é aumen­tar ain­da mais a segu­rança e garan­tir que as empre­sas real­mente este­jam cumprindo as ori­en­tações de pro­teção de dados. 

Out­ro pon­to que foi ressalta­do pelos juris­tas como difer­ença entre o pro­je­to de lei e a LGPD é o tem­po para ade­quação. Enquan­to e lei fed­er­al deve vig­o­rar ple­na­mente ape­nas em 2020, a PL 598/2018 pas­saria a valer como regra 180 dias depois de sua val­i­dação, o que daria menos tem­po para que as empre­sas se adequassem. 

E não seria nada inter­es­sante infringir o pro­je­to de lei, caso ele ven­ha a ser insti­tuí­do. Nogueira defende que as penal­i­dades cheguem à R$ 25 mil­hões por infração. 

Há motivos para inse­gu­rança jurídica? 

A PL 598/2018 ain­da é uma pro­pos­ta “agri­doce” para a comu­nidade jurídi­ca, e é muito difí­cil saber o que esper­ar se ela vier a ser aprova­da. Mas já exis­tem algu­mas espec­u­lações, e a cri­ação dos dois órgãos é o obje­to da maio­r­ia delas.

Ao mes­mo tem­po em que ter dois órgãos pode for­t­ale­cer a vig­ilân­cia, a existên­cia de autori­dades estad­u­ais e fed­erais sig­nifi­caria que as empre­sas prestari­am con­tas duas vezes, e isso pode­ria implicar em uma dupla sanção. 

O fato de haverem dois órgãos tam­bém faz pen­sar que se as regras forem min­i­ma­mente difer­entes, as empre­sas podem acabar des­cumprindo uma ordem estad­ual para cumprir a ori­en­tação da fed­er­al, ou vice-ver­sa. E se as duas insti­tu­ições prati­carem os mes­mos princí­pios, há neces­si­dade de ambas? Não seria mais sim­ples e econômi­co cen­tralizar as ações em uma úni­ca fonte? Ou é mel­hor man­ter polos region­ais para um con­t­role maior?

Ain­da não sabe­mos se a PL 598/2018 será aprova­da, nem podemos garan­tir quais seri­am suas impli­cações no dia a dia do con­sum­i­dor e das empre­sas. Mas é seguro diz­er que nun­ca hou­ver­am tan­tos pro­je­tos volta­dos para a segu­rança da infor­mação e da pro­teção de dados e as empre­sas que não estiverem alin­hadas com ess­es princí­pios cer­ta­mente estarão ultra­pas­sadas em pouco tempo. 

Se você não quer que isso acon­teça com o seu negó­cio, deve começar já a ajus­tar seus proces­sos às novas regras de pro­teção de dados. Se pre­cis­ar de aju­da, con­te com os advo­ga­dos espe­cial­iza­dos em dire­ito dig­i­tal e tec­nolo­gia da Assis e Mendes!

GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

GDPR: Tudo o que você precisa saber sobre a lei de privacidade na web

por Assis e Mendes | jan 3, 2019 | Direito digital, Direito digital

Os aplica­tivos que você tem no seu celu­lar, as redes soci­ais que cos­tu­ma usar, os sites que aces­sa, e até mes­mo o sis­tema opera­cional do seu com­puta­dor estão col­hen­do dados sobre você e seus hábitos.

E com tan­tas empre­sas de olho em tudo o que o con­sum­i­dor faz, com­pra, escreve e pesquisa, a pre­ocu­pação com a pri­vaci­dade na inter­net tem se inten­si­fi­ca­do cada vez mais. E nesse cenário que surge uma das medi­das que já está mudan­do o recol­hi­men­to de dados e pri­vaci­dade na inter­net: o GDPR.

O QUE É GDPR?

Como ação em defe­sa às infor­mações pes­soais do públi­co, a União Europeia divul­gou, recen­te­mente, o Reg­u­la­men­to Ger­al de Pro­teção de Dados da União Europeia (GDPR), que entrou em vig­or em 25 de maio de 2018. A dire­ti­va tem como obje­ti­vo man­ter a transparên­cia no proces­so de cap­tação de dados e per­mi­tir que o con­sum­i­dor deci­da o que faz­er com suas próprias informações.

As regras não valem ape­nas para os país­es inte­grantes da União Europeia, mas para todos aque­les que, de algu­ma for­ma, têm con­ta­to com clientes europeus, proces­sam ou armazenam seus dados ness­es países.

E quan­do falam­os sobre dados, vale qual­quer infor­mação: fotos, nomes, posta­gens em redes soci­ais e até endereços de IP pre­cisam ser reg­u­lar­iza­dos pelas empre­sas que os detêm.

As empre­sas que não se adaptarem ao Reg­u­la­men­to Ger­al podem rece­ber mul­tas de até 4% de seu fat­u­ra­men­to anu­al, ou até 20 mil­hões de euros.

O QUE DIZ O GDPR?

Veja, a seguir, quais os prin­ci­pais ter­mos do GDPR e pre­pare-se para atu­alizar o seu sis­tema de cole­ta e geren­ci­a­men­to de dados, se você pres­ta serviços nos país­es da União Europeia.

  • Noti­fi­cação de que­bra de sigilo

Vez ou out­ra surge uma notí­cia sobre um grande vaza­men­to com um número gigante de dados per­di­dos, mas difi­cil­mente os con­sum­i­dores que tiver­am suas infor­mações roubadas ficam saben­do que isso acon­te­ceu com eles.

Com o GDPR isso muda, e as empre­sas pas­sam a ter a obri­gação de noti­ficar seus clientes sobre o vaza­men­to em até 72 horas depois de notarem a que­bra de sigilo.

  • Dire­ito ao acesso 

Com a atu­al­iza­ção, os usuários tam­bém recebem, for­mal­mente, o dire­ito de saber e de exi­gir que as empre­sas informem onde, quan­do e com qual final­i­dade seus dados estão sendo armazenados.

  • Dire­ito ao esquecimento 

O con­sum­i­dor tam­bém poderá exi­gir que as empre­sas apaguem seus dados, des­de que eles ten­ham sido recol­hi­dos sem o con­sen­ti­men­to claro do usuário ou quan­do já não sejam con­sid­er­a­dos úteis para o propósi­to inicial.

Ness­es casos, as empre­sas dev­erão apa­gar as infor­mações em sua total­i­dade, garan­ti­n­do que não vão reter cópias nem guardar os dados de qual­quer maneira.

  • Porta­bil­i­dade dos dados 

O Reg­u­la­men­to Ger­al de Pro­teção de Dados da União Europeia tam­bém intro­duz o con­ceito de porta­bil­i­dade dos dados pes­soais, que dá ao con­sum­i­dor a pos­si­bil­i­dade de levar suas infor­mações para out­ras empre­sas, se assim o desejar.

E a com­pan­hia que man­tém atual­mente os dados do usuário deve facil­i­tar e apoiar esse processo.

  • Con­tro­ladores de acesso 

O GDPR tam­bém exige que haja profis­sion­ais encar­rega­dos de cri­ar medi­das e pro­ced­i­men­tos que garan­tam que os dados serão col­hi­dos e proces­sa­dos de acor­do com as novas nor­mas para man­ter os dados dos con­sum­i­dores protegidos.

Emb­o­ra as penal­iza­ções pelo des­cumpri­men­to das obri­gações do reg­u­la­men­to sejam duras, de acor­do com um estu­do real­iza­do pela Ver­i­tas Tech­nolo­gies, até jul­ho do ano pas­sa­do, 31% das empre­sas havi­am afir­ma­do que já tin­ham se adap­ta­do à dire­ti­va, porém, ape­nas 2% das empre­sas estavam, de fato, em com­pli­ance com todas as res­oluções do GDPR.

Com as com as mudanças que vêm com o GDPR, muitas empre­sas estão ten­do que mudar a sua for­ma de oper­ação. As empre­sas de e‑commerce e as de TI são algu­mas das que mais recol­hem e proces­sam dados de usuário, e, por isso, tam­bém devem ser algu­mas das que mais ten­ham que se ade­quar à regulamentação.

GDPR E A PROTEÇÃO DE DADOS NO BRASIL

Seguin­do a tendên­cia mundi­al de pro­teção de dados impul­sion­a­da pelo GDPR europeu, o atu­al pres­i­dente Michel Temer aprovou em agos­to deste ano a Lei nº13.709, que deve ser con­heci­da como Lei Ger­al de Pro­teção de Dados ou LGPD.

A lei deve incluir o Brasil na lista de país­es que pos­suem uma leg­is­lação ou ori­en­tações especí­fi­cas sobre o recol­hi­men­to, proces­sa­men­to e uso de dados pes­soais.  

As regras valem para qual­quer pes­soa ou empre­sa que faça o trata­men­to de infor­mações em ter­ritório nacional, cujo recol­hi­men­to este­ja rela­ciona­do com a ofer­ta de bens ou serviços. Ou seja, empre­sas de qual­quer porte que coletem dados no Brasil ou de brasileiros e os usem para fins com­er­ci­ais dev­erão aten­der à nova regra. 

» Leia mais sobre o LGPD e enten­da quais mudanças os brasileiros devem fazer

GDPR E AS MUDANÇAS PARA O E‑COMMERCE

  • Reavaliar a neces­si­dade de recol­hi­men­to de dados: um dos primeiros pas­sos que as lojas vir­tu­ais devem faz­er é reavaliar os seus proces­sos para enten­der exata­mente em que momen­to os dados dos con­sum­i­dores são uti­liza­dos e quais são as infor­mações de que real­mente precisam.
  • Atu­alizar os Ter­mos de Uso e Políti­cas de Pri­vaci­dade: o GDPR tam­bém deter­mi­na que o usuário sai­ba exata­mente quais infor­mações estão sendo recol­hi­das, onde elas estão sendo armazenadas e com qual final­i­dade, e uma das for­mas mais efi­cientes de garan­tir isso é atu­al­izan­do os seus Ter­mos de Uso e Políti­cas de Pri­vaci­dade.
  • Uti­lizar sis­temas mais trans­par­entes: assim como as infor­mações devem estar mais claras, os próprios sis­temas devem ser mais trans­par­entes com o con­sum­i­dor. E é necessário não só man­tê-lo infor­ma­do sobre a cole­ta, mas deixar que ele deci­da se quer mover seus dados para out­ra empre­sa ou mes­mo dele­tar seu nome e suas infor­mações da inter­net. Nesse últi­mo caso, cabe o Dire­ito ao Esquec­i­men­to, em que a empre­sa deve se com­pro­m­e­ter a dele­tar defin­i­ti­va­mente as infor­mações e não reter nen­hum tipo de arqui­vo rela­ciona­do ao usuário.
  • Refor­mu­lar cam­pos de opt-in e for­mulários: como no e‑commerce os for­mulários e out­ras fer­ra­men­tas de mar­ket­ing que uti­lizam opt-in (cadas­tro de infor­mações para envio de men­sagens e out­ros mate­ri­ais), é impre­scindív­el que as lojas vir­tu­ais reve­jam a for­ma como solici­tam o preenchi­men­to e criem eta­pas que garan­tam que o con­sum­i­dor enten­deu por que esta­va preenchen­do o for­mulário e como as suas infor­mações serão uti­lizadas. Isso garante que a empre­sa obten­ha o con­sen­ti­men­to real do vis­i­tante e é fun­da­men­tal para evi­tar prob­le­mas judi­ci­ais no futuro.
  • Reforçar a pro­teção: uti­lizar platafor­mas de comér­cio eletrôni­co con­fiáveis e ter cer­ti­fi­ca­do SSL são algu­mas das ações ini­ci­ais para aumen­tar a segu­rança, mas é muito impor­tante que a loja vir­tu­al busque estar sem­pre alin­ha­da com as mais avançadas tec­nolo­gias do setor para garan­tir a sua pri­vaci­dade e a de seus usuários.

» Tem loja vir­tu­al? Veja mais sobre como se adap­tar ao GDPR

GDPR E AS MUDANÇAS PARA EMPRESAS DE TI

  • Mudanças de aces­so: as regras do GDPR indicam que deve haver transparên­cia na cole­ta e gestão das infor­mações, então os soft­wares pre­cisam per­mi­tir que os usuários saibam exata­mente quais dados estão sendo cap­ta­dos, como e por quê. O públi­co tam­bém gan­ha o dire­ito de mover suas infor­mações ou deletá-las defin­i­ti­va­mente, e as empre­sas pre­cisam cri­ar proces­sos para aten­der essas solicitações.
  • Rev­er pro­ced­i­men­tos de segu­rança: nen­hu­ma empre­sa quer que os seus dados sejam vio­la­dos, mas com a chega­da do GDPR a tendên­cia é de que as empre­sas refinem, ain­da mais, os seus pro­ced­i­men­tos de segu­rança para evi­tar o vaza­men­to de dados.
  • Definir proces­sos no caso de vaza­men­to de infor­mações: o GDPR estip­u­la, ain­da, um pra­zo de, no máx­i­mo, 72 horas para que uma com­pan­hia noti­fique seus clientes de que hou­ve que­bra de sig­i­lo. O ide­al é que as empre­sas já criem pro­ced­i­men­tos e ori­en­tem suas equipes sobre o que deve ser feito no caso de um vaza­men­to. Com isso será bem mais fácil aten­der o pra­zo deter­mi­na­do pelo GDPR. 
  • Con­sid­er­ar a con­tratação de DPO: o GDPR tam­bém recomen­da a con­tratação de um DPO (Data Pro­tec­tion Offi­cer, ou Encar­rega­do da Pro­teção de Dados, em por­tuguês), caso a empre­sa tra­bal­he com um vol­ume muito grande de infor­mações, seja uma autori­dade públi­ca ou ain­da faça um mon­i­tora­men­to em larga escala. Esse profis­sion­al terá tare­fas impor­tantes, como repas­sar as boas práti­cas à equipe e garan­tir o cumpri­men­to das nor­mas do GDPR.

» Con­tin­ue lendo sobre as mudanças que o GDPR impõe para as empre­sas de TI

NA PRÁTICA, COMO PREPARAR SUA EMPRESA PARA O GDPR? 

Mas e quan­to a sua empre­sa? Já está pronta para a reg­u­la­men­tação que deve ser imple­men­ta­da nos próx­i­mos dias? Se a respos­ta é não, sai­ba o que é pre­ciso faz­er para começar a se adap­tar às novas regras que chegam com o GDPR. 

Ter uma boa asses­so­ria jurídica 

Essa não é questão obri­gatória do GDPR, mas é um pon­to chave para se res­guardar juridica­mente de todas as questões legais que envolvem a pri­vaci­dade e a segu­rança na internet. 

Uma boa asses­so­ria jurídi­ca espe­cial­iza­da em Dire­ito Dig­i­tal e Empre­sar­i­al, como a Assis e Mendes, é fun­da­men­tal para que a empre­sa pos­sa iden­ti­ficar riscos e vul­ner­a­bil­i­dades que podem ger­ar prob­le­mas judi­ci­ais, cri­ar fer­ra­men­tas de pro­teção e gestão de crise, como os Ter­mos de Uso e Políti­cas de Pri­vaci­dade, e pro­te­ger o seu negó­cio de qual­quer questão jurídi­ca que pos­sa sur­gir como fru­to do recol­hi­men­to e proces­sa­men­to de dados dos seus clientes. 

Cri­ar um plano de ação para vaza­men­to de dados 

Infe­liz­mente, nem as grandes cor­po­rações estão livres de vaza­men­to de dados. Pro­va dis­so é que até empre­sas como Net­flix, LinkedIn, Net­shoes, Uber e, mais recen­te­mente, o Face­book, já apre­sen­taram fal­has em seus sis­temas de segu­rança que cul­mi­naram no vaza­men­to de mil­hões de infor­mações de seus clientes. 

Além da neces­si­dade de estar sem­pre reavalian­do e reforçan­do as bar­reiras tec­nológ­i­cas que pro­tegem a pri­vaci­dade dos usuários, o GDPR exige que as empre­sas noti­fiquem rap­i­da­mente os con­sum­i­dores que seus dados foram expostos. 

Para isso, é fun­da­men­tal imple­men­tar um pro­ced­i­men­to que iden­ti­fique o vaza­men­to o quan­to antes, iden­ti­fique os usuários que foram prej­u­di­ca­dos e gere uma noti­fi­cação do que acon­te­ceu. O ide­al é cri­ar ess­es sis­temas antes da que­bra de sig­i­lo, já que o GDPR deter­mi­na que os usuários sejam avisa­dos em, no máx­i­mo, 72 horas. 

Ter sis­temas mais transparentes 

Out­ro pon­to bas­tante impor­tante do GDPR é traz­er mais transparên­cia ao proces­sa­men­to de dados, e isso exige que as empre­sas criem sis­temas e guias que per­mi­tam que o usuário sai­ba quan­to, como e quais dados serão recol­hi­dos e o que está sendo feito com eles. 

Os con­tro­ladores devem, inclu­sive, deixar que o usuário escol­ha que a empre­sa apague os seus dados, um con­ceito bas­tante semel­hante ao Dire­ito do Esquec­i­men­to, ou mes­mo que suas infor­mações sejam movi­das para out­ras empre­sas, algo que está sendo chama­do de porta­bil­i­dade dos dados. 

Para garan­tir todas essas ações, os sis­temas de proces­sa­men­to de dados e as roti­nas dos profis­sion­ais devem ser atu­al­izadas o quan­to antes. Já exis­tem, tam­bém, opções de pro­gra­mas que fazem a admin­is­tração dos dados seguin­do os parâmet­ros do GDPR, o que pode faz­er a migração de sis­tema uma opção interessante. 

COMO A ASSIS E MENDES PODE AJUDAR SUA EMPRESA COM O GDPR

Ain­da tem dúvi­das sobre como imple­men­tar ações que asse­gurem o com­pli­ance com o GDPR e a nova leg­is­lação brasileira de pro­teção de dados? A Assis e Mendes pode te ajudar! 

O escritório con­ta com profis­sion­ais espe­cial­iza­dos em Dire­ito Dig­i­tal, Empre­sar­i­al e Tec­nolo­gia que estão alin­hados com as nor­mas mundi­ais de pro­teção de dados e tem larga exper­iên­cia em aju­dar empre­sas a adotarem oper­ações mais efi­cientes, seguras e que ger­am resultados!


« Entradas Antigas

Categorias

  • Bots
  • Colunistas
  • Compliance
  • Coronavirus
  • Cyberbullying
  • Direito de família
  • Direito digital
  • Direito Empresarial
  • Direito Imobiliário
  • Direito tributário
  • Imprensa
  • Lei da Liberdade Econômica
  • LGPD
  • Não categorizado
  • Outros
  • Privacidade
  • Segurança da Informação
  • Sem categoria
  • Stalking
  • Tecnologia
  • Trabalhista

Inscreva-se para nossa NewsLetter

Tags

ANPD aplicação LGPD assessoria jurídica cibercrime CLT contrato contrato de trabalho contratos contrato societário crimes virtuais direito a privacidade direito digital Direito Empresarial direito trabalhista direito tributário e-commerce empreendedor empreendedorismo empresas featured GDPR impostos internet investimento lei de proteção de dados Lei Geral de Proteção de Dados lei LGPD LGPD loja virtual privacidade privacidade na internet privacidade na web privacidade online proteção de dados redes sociais segurança segurança da informação segurança digital segurança jurídica site sociedade startup startups tecnologia vazamento de dados

O escritório

  • Quem Somos
  • Advogados
  • Premiações e reconhecimento
  • Áreas de Atuação

Informações Legais

  • Política de Privacidade
  • Termos de Uso
  • Trabalhe conosco
  • Imprensa
  • Contato

Fale com um especialista

11 3141 9009
Alameda Santos, 1165
Paulista - CEP 01419-001 - SP

Redes Sociais

  • Seguir
  • Seguir
  • Seguir
  • Seguir
  • Seguir

© Assis e Mendes Advogados - Direito Digital, Empresarial e Proteção de Dados - 2020